零日漏洞能值多少钱?以微软Office 365的Follina漏洞为例,该漏洞的发现者如果将技术细节卖给Zerodium(一家专注零日交易的公司),而不是公布在网上的话,至少可以落袋25万美元。
Follina是一种远程代码执行漏洞,攻击者可以通过引诱受害者点击恶意链接,感染受害者的系统。还有一些更为罕见、更危险的漏洞,能够在受害者无意识甚至无操作的情况下中招的漏洞,价格会更高。Zerodium曾表示,可以支付高达数百万美元。
事实上,零日交易正在蓬勃发展,网络犯罪分子利用这些以前未知的漏洞来非法获得暴利,企业和政府则希望利用这些漏洞获得商业或政治上的优势。
根据谷歌Project Zero团队的研究,去年发现了将近60个新的零日。这是自2014年该团队成立以来最多产的一年。2022年,到目前为止已发现了21个。
从上图可以看出,2021年是零日的历史最高点。
虽然零日漏洞属于“新”被发现的漏洞,但其中的许多漏洞却与以前的遗留问题有关。Project Zero表示,它发现的绝大多数零日漏洞“与之前和公众已知的漏洞类似。只有两个零日漏洞为新的发现:一个是利用一系列的技术复杂性,另一个则利用了新的沙箱逃离技术。”
2022年也是如此,在目前发现的零日里至少有9个是以前修补过的漏洞的变体。
上图是2022年发现的各家科技巨头的零日漏洞,谷歌的产品目前零日最多。
谁在交易零日漏洞?
苏黎世联邦理工大学安全研究中心的研究员马克斯·斯密茨博士表示,零日市场已经存在多年,但自2000年代初以来发生了重大改变。之前很少有安全研究人员谈论如何将漏洞卖给出价最高的人,只有某些个人将漏洞出售给民族国家或者是私营企业。
现在,随着Zerodium等经纪人的出现,漏洞交易变得非常商业化。Zerodium愿意为研究人员的发现支付报酬,并将其出售给私营机构或国家政府的客户,而且后者是零日漏洞的主要买家,尤其是拥有巨额预算的美国政府和英国政府。随着更多国家建立网络部队,这些国家都会对网络攻击武器感兴趣,而网络攻击武器的核心在于零日漏洞。
发现零日漏洞的研究人员可以将其报告给受影响的公司,其中许多公司通过所谓的“漏洞奖励”计划来酬劳研究人员,但往往酬金支付的流程很慢。许多握有零日漏洞的人宁愿不通过官方渠道,除了能够收到高额的回报以外,还有私人信息保密等原因。这就是为什么需要Zerodiu此类的漏洞交易机构。
零日市场的风险
然而,尽管Zerodium在其网站上列出了所谓的官方价格,但实际上漏洞挖掘的研究人员到底能拿到多少报酬还是个未知数。意大利间谍软件公司Hacking Team在2015年的数据泄露事件就是一个证明,当时该公司不仅很难买到零日,而且其制造的入侵工具也很难出售。Hacking Team的往来邮件显示,向研究人员支付的款项流程很容易出问题。例如,在其他地方发现了相同的漏洞利用,支付流程就会被取消。
但对于Zerodium来说,不管其真实的支付价格是多少还是到底有没有“核弹”级别的零日漏洞,至少在表面上,要保持其公众形象。即显示自己的强大的购买力和丰富的销售资源。
另一种风险是漏洞验证。Hacking Team在六年的时间里只成功购买了五次,原因在于漏洞并非“一手交钱一手交货”那么简单,高价购买的漏洞并非回回奏效。因此需要在决定购买之前对漏洞进行测试,但并非每个卖家都愿意这样做。另外,对于买家来说,无法知道是否存在“一洞多卖”的问题。
零日交易的未来
零日交易市场的不透明性,专家们认为应该对其进行严格的监管。比如,瓦森纳协定将囊括在内。但内布拉斯加州大学的刑法和网络安全专家梅林·菲德勒却认为这不太可能发生。
首先,Zerodium这类安全公司的存在意味着监管立法的难度,更何况像美国这种能够从正规军事承包商那里购买漏洞的政府,自身需求能够满足,就不愿意再耗费太多的精力去建立全球的监管规则。
再者,地缘政治的变化以及美国、欧洲、俄罗斯、中国、以色列、中东之间的紧张局势也是一个因素。这些国家是零日领域的重要玩家,彼此之间如果没有合作的意愿,国际监管就不会发生。
因此,零日交易的市场还会这样继续下去。最近一段时期内,最炙手可热的仍然在移动设备领域。Zeronium网站上出价最高的项目是安卓系统的零点击(无需受害者的任何操作)零日漏洞,任何发现这种漏洞的人将获得高达250万美元的奖金。
参考阅读
[调研]2021年零日漏洞利用激增
[调研]零日漏洞猛增致漏洞利用加速
苹果零日漏洞利用市售800万欧元
2022年迄今为止半数零日漏洞都是之前漏洞的变体